CVE-2026-34562CI4MS是一款基于CodeIgniter 4框架构建的内容管理系统(CMS)。在0.31.0.0版本之前,该系统存在一处存储型跨站脚本(XSS)漏洞。漏洞成因是应用程序在“系统设置-公司信息”模块中,未能对用户提交的输入数据进行充分的净化处理。攻击者可以在特定的管理配置字段中注入恶意脚本,这些脚本会被存储在服务器端。当管理员或其他用户访问包含这些信息的页面时,恶意脚本会在其浏览器中执行,从而可能窃取敏感信息或执行未授权操作。
该漏洞属于典型的存储型XSS(Stored XSS)。由于CI4MS在处理公司信息等系统配置时,后端代码未对输入字段(如公司名称、地址等)实施严格的数据过滤或转义机制,导致攻击者可以插入HTML或JavaScript代码。当数据被持久化到数据库后,系统在前端渲染这些配置信息时,未进行上下文相关的输出编码(Context-Aware Output Encoding),导致浏览器将攻击者注入的数据解析为可执行代码。鉴于CVSS向量中PR:H(高权限要求),利用该漏洞通常需要攻击者具备管理员权限或能够诱骗具有配置权限的管理员提交恶意数据。一旦利用成功,攻击者可利用受害者的会话凭证接管账户。